CVE-2026-6403

Nome do Software Vulnerável e Versões Afetadas Quick Playground versões anteriores a 1.3.4

Descrição O plugin Quick Playground para WordPress contém uma falha de travessia de caminho (path traversal). Isso ocorre porque a função qckply zip theme() não valida adequadamente o parâmetro stylesheet, que é anexado ao caminho do diretório raiz do tema sem a sanitização de sequências de travessia de diretório. Consequentemente, invasores não autenticados podem disparar a criação de um arquivo ZIP contendo arquivos arbitrários do sistema de arquivos do servidor, como o arquivo wp-config.

Recomendações Atualize o plugin para uma versão posterior a 1.3.3. Como medida paliativa temporária, restrinja o acesso à função qckply zip theme() para minimizar o risco de exploração.